サイバー犯罪者は、セキュリティおよび保護テクノロジと同じ速さで戦術を変更しようとします。ターゲットを絞った請求書をテーマにした XLS.HTML フィッシング キャンペーンの 1 年間にわたる調査では、攻撃者は平均で 37 日ごとに難読化と暗号化のメカニズムを変更しており、常に検出を回避して資格情報の盗難操作を実行し続ける高い動機とスキルを示しています。
このフィッシング キャンペーンは、最新の電子メールの脅威を示しています。 HTML 添付ファイルは、パスワードを盗むために使用される JavaScript ファイルを含むいくつかのセグメントに分割され、さまざまなメカニズムを使用してエンコードされます。これらの攻撃者は、平文の HTML コードの使用から、モールス符号のような古くて珍しい暗号化方法を含む複数のエンコーディング技術を使用して、これらの攻撃セグメントを隠すように移行しました。これらのコード セグメントの一部は、添付ファイル自体には存在しません。代わりに、さまざまなオープン ディレクトリに存在し、エンコードされたスクリプトによって呼び出されます。
実際、添付ファイルはジグソー パズルに匹敵します。HMTL ファイルの個々のセグメントは、コード レベルでは無害に見えるため、従来のセキュリティ ソリューションをすり抜けてしまう可能性があります。これらのセグメントが組み合わされ、適切にデコードされた場合にのみ、悪意が示されます。
このキャンペーンの主な目的は、ユーザー名、パスワード、および最近のイテレーションでは IP アドレスや場所などのその他の情報を収集することです。これらの情報は、攻撃者が後の侵入試行の最初のエントリ ポイントとして使用します。前述のように、キャンペーン コンポーネントには、電子メール アドレスや会社のロゴなど、ターゲットに関する情報が含まれています。このような詳細は、キャンペーンのソーシャル エンジニアリングのルアーを強化し、ターゲット受信者の事前の偵察が行われたことを示唆しています。
電子メール ベースの攻撃は、電子メール セキュリティ ソリューションを回避する新たな試みを続けています。このフィッシング キャンペーンの場合、これらの試みには、JavaScript などの既知の既存のファイル タイプに対する多層難読化および暗号化メカニズムの使用が含まれます。 HTML の多層難読化も同様に、ブラウザのセキュリティ ソリューションを回避できます。
このキャンペーンや同様の脅威から組織を防御するため に、Office 365 向け Microsoft Defender は、電子メール キャンペーンのセキュリティ専門家による監視に支えられた複数の動的保護テクノロジを使用します。 Defender for Office 365 からの豊富な電子メール脅威データがMicrosoft 365 Defenderに通知され、フィッシングによって盗まれた資格情報を使用する後続の攻撃に対して調整された防御が提供されます。 Microsoft 365 Defender は、電子メール、エンドポイント、ID、およびクラウド アプリからの脅威データを関連付けて、クロスドメイン防御を提供することでこれを行います。
XLS.HTML フィッシング キャンペーン: 偽の支払い通知は、攻撃者が資格情報を盗むための効果的なツールです
XLS.HTML フィッシング キャンペーンは、ソーシャル エンジニアリングを使用して、通常の金融関連のビジネス トランザクションを模倣した電子メールを作成します。具体的には、ベンダーの支払いに関するアドバイスと思われるものを送信します。一部の電子メールでは、攻撃者は件名にアクセント付きの文字を使用しています。
電子メールの添付ファイルは HTML ファイルですが、ファイル拡張子は次のいずれかまたはそのバリエーションに変更されます。
- xls.HTML
- xslx.HTML
- xls.html
- .XLS.html
- xls.html
- xls.HtMl
- xls.htM
- xsl_x.h_T_M_L
- .xls.html
- ._xslx.hTML
- ._xsl_x.hTML
図 1. HTML が添付されたフィッシング メール メッセージの例
添付ファイル名にxlsを使用することは、ユーザーに Excel ファイルであることを期待させるためのものです。添付ファイルを開くと、ブラウザ ウィンドウが起動し、ぼやけた Excel ドキュメントの上に偽の Microsoft Office 365 資格情報ダイアログ ボックスが表示されます。特に、ダイアログ ボックスには、電子メール アドレスや、場合によっては会社のロゴなど、ターゲットに関する情報が表示される場合があります。下記参照:
図 2. 背景にぼやけた Excel 画像が表示された資格情報ダイアログ ボックスの例。ターゲット ユーザーの組織のロゴが使用可能な場合は、ダイアログ ボックスに表示されます。それ以外の場合は、Office 365 のロゴが表示されます。
Excel ドキュメントへのアクセスがタイムアウトしたと思われるため、ダイアログ ボックスはユーザーにパスワードの再入力を求めます。ただし、ユーザーがパスワードを入力すると、送信されたパスワードが正しくないという偽のメモが表示されます。一方、バックグラウンドで実行されている攻撃者が制御するフィッシング キットは、ユーザーに関するパスワードやその他の情報を収集します。
平文からモールス符号へ: 頻繁に変化する攻撃セグメントのエンコーディングのタイムライン
このフィッシング キャンペーンは、攻撃者が HTML ファイルをエンコードしてセキュリティ制御を回避するのに要する時間が長いという点で独特です。前述のように、HTML 添付ファイルはいくつかのセグメントに分割され、さまざまなエンコード メカニズムを使用してエンコードされます。次の図は、このフィッシング攻撃のセグメントを分解したものです。
図 3. フィッシング キャンペーンの構造
- セグメント 1 – ターゲットの電子メール アドレス
- セグメント 2 – logo[.]clearbit[.]com 、 i[.]gyazo[.]com 、またはapi[.]statvoo[.]comからのターゲット ユーザーの組織のロゴ。ロゴが利用できない場合、このセグメントは代わりに Microsoft Office 365 ロゴを読み込みます。
- セグメント 3 – ぼやけたドキュメントの画像をロードするスクリプトで、サインインがタイムアウトになったことを示します。
- セグメント 4 – ユーザーにパスワードの入力を求め、入力したパスワードをリモート フィッシング キットに送信し、偽のページとエラー メッセージをユーザーに表示するスクリプト。
前の図に示すように、セグメント 1 と 2 には、ターゲット ユーザーの電子メール アドレスと組織に関するエンコードされた情報が含まれています。これらの詳細は、キャンペーンのソーシャル エンジニアリングのルアーを強化するだけでなく、攻撃者が標的の受信者に対して以前に偵察を行ったことを示唆しています。
エンコーディング方法の定期的な更新は、攻撃者がセキュリティ テクノロジを回避するためにルーチンを変更する必要性を認識していることを証明しています。
以下は、このフィッシング キャンペーンが 2020 年 7 月から 2021 年 7 月までに使用したエンコード メカニズムのタイムラインです。
図 4. xls/xslx.html フィッシング キャンペーンのタイムラインと使用されたエンコード技術
この期間中に観察したキャンペーンの 10 回の反復に基づいて、その進化を以下に概説するフェーズに分類できます。これらの攻撃で観察されたソーシャル エンジニアリングのルアー、添付ファイル名、JavaScript ファイル名、フィッシング URL、およびドメインの完全なリストについては、付録を参照してください。
プレーンテキストの HTML からエンコードされたセグメントへの移行
2020 年 7 月に観測されたこのフィッシング キャンペーンの最初の反復 (「支払い領収書」ルアーを使用) では、ユーザーのメール ID (ID) や最終的なランディング ページなど、識別されたすべてのセグメントがプレーンテキスト HTML でコード化されていました。しかし、組織のロゴ (サード パーティのサイトから取得したもの) とフィッシング キットへのリンクが Escape を使用してエンコードされた翌月の波 (「契約」) で、これは変わりました。
図 5. 2020 年 7 月のウェーブの HTML コード内の攻撃セグメント
図 6. 2020 年 8 月のウェーブの HTML コードに埋め込まれたフィッシング キットのドメインと標的組織のロゴ
サードパーティ サイトでのセグメントのホスティングと複数のエンコード メカニズム
2020 年 8 月後半のウェーブ以降、ぼやけた Excel の背景を表示し、フィッシング キットをロードする実際のコード セグメントが HTML 添付ファイルから削除されました。これらは JavaScript ファイルへのリンクに置き換えられ、無料の JavaScript ホスティング サイトでホストされていました。
セグメント、リンク、および実際の JavaScript ファイルは、少なくとも 2 つのレイヤーまたはエンコード メカニズムの組み合わせを使用してエンコードされました。この戦術は、その後のいくつかの反復でも確認されています。たとえば、2020 年 11 月のウェーブ (「組織名」) の添付ファイルの HTML コード内では、JavaScript ファイルへの 2 つのリンクが、最初に Base64 で、次に ASCII で 2 つのステップで一緒にエンコードされていました。一方、HTML ファイル内のユーザーのメール ID と組織のロゴは Base64 でエンコードされ、実際の JavaScript ファイルは Escape でエンコードされていました。
図 7. 2020 年 11 月のウェーブでエンコードされた JavaScript を含む HTML コード
図 8. Base64 を使用した第 1 レベルのエンコードと、デコードされた文字列を並べて表示
図 9. ASCII を使用した第 2 レベルのエンコード、デコードされた文字列と並べて表示
モールス符号の使用
モールス信号は、ダッシュとドットを使用して文字を表す、古くて珍しいエンコード方法です。このメカニズムは、2021 年 2 月 (「組織レポート/請求書」) と 2021 年 5 月 (「給与」) のウェーブで観察されました。
2 月のイテレーションでは、JavaScript ファイルへのリンクは ASCII を使用してエンコードされ、次にモールス符号でエンコードされました。一方、5 月には、モールス信号を使用して HTML コード全体をエンコードする前に、フィッシング キットの URL のドメイン名が Escape でエンコードされました。
図 10. 実行時にデコードされた、2021 年 2 月のウェーブのモールス符号でエンコードされた埋め込み JavaScript
エンコーディング「ラッパー」の使用
このキャンペーンの以前の繰り返しでは、セグメントごとに複数のエンコーディング メカニズムが使用されていましたが、HTML 添付ファイル自体を「ラップ」するために 1 つまたは複数のエンコーディング レイヤーを追加した最近の波がいくつか観察されました。たとえば、2021 年 3 月のウェーブ (「請求書」) では、ユーザーのメール ID が Base64 でエンコードされていました。一方、JavaScript ファイルへのリンクは ASCII でエンコードされた後、Escape の残りの HTML コードで再度エンコードされました。
これは、前述のように、2021 年 5 月のイテレーションで再び見られました。 2021 年 6 月のウェーブ (「未処理のクリアランス スリップ」) では、JavaScript ファイルへのリンクは ASCII でエンコードされていましたが、フィッシング キットの URL のドメイン名は Escape でエンコードされていました。次に、HTML 添付ファイル全体が最初に Base64 を使用してエンコードされ、次に Char コーディング (区切り文字: コンマ、Base:10) を使用して第 2 レベルの難読化が行われました。
図 11. 実行時にデコードされた 2021 年 6 月ウェーブのマルチレイヤー エンコードされた HTML
新しい情報盗用モジュールの導入
2021 年 5 月のウェーブでは、 hxxps://showips[.]com/api/geoip/を使用してユーザーの IP アドレスと国データを取得し、それらをコマンド アンド コントロール (C2) サーバーに送信する新しいモジュールが導入されました。前述のように、攻撃者はこのような情報をユーザー名とパスワードとともに、後の侵入試行の最初のエントリ ポイントとして使用する可能性があります。
図 12. 2021 年 5 月のウェーブでユーザーの IP アドレスと場所を収集するスクリプト
Office 365 ページへのリダイレクト
2021 年 7 月のウェーブ (「注文書」) では、ユーザーがパスワードを入力したときに偽のエラー メッセージを表示する代わりに、フィッシング キットがユーザーを正規の Office 365 ページにリダイレクトしました。
図 13. ユーザーが正規の Office 365 ページにリダイレクトされている間に、ユーザーの資格情報が攻撃者の C2 サーバーに投稿される
協調的な脅威防御により、動的に変化する電子メールの難読化手法を検出する
この脅威の非常に回避的な性質と進化しようとする速度には、包括的な保護が必要です。 Microsoft Defender for Office 365は、このフィッシング キャンペーンからの悪意のある電子メールを、多様で多層的なクラウドベースの機械学習モデルと動的分析によって検出します。 Microsoft Defender for Office 365 は、既知の悪意のある信号に基づいて電子メールと添付ファイルを検査するだけでなく、電子メール メッセージとヘッダーのプロパティを検査する学習モデルを活用して、メッセージの送信者 (送信者 IP 評価など) と受信者の両方の評価を判断します。
Microsoft Defender for Office 365 には組み込みのサンドボックスがあり、ファイルと URL が検出され、特定のファイルの特性、呼び出されたプロセス、その他の動作などの悪意があるかどうかが調べられます。このフィッシング キャンペーンでは、HTML 添付ファイルがサンドボックスで実行されると、ルールによって、開かれている Web サイト、デコードされた JavaScript ファイルが悪意のあるものかどうか、使用されている画像がなりすましまたは正当なものであるかどうかがチェックされます。
Microsoft Defender for Office 365 は、新しい攻撃者のツールや手法の脅威の状況を継続的に監視している Microsoft の専門家によって支えられています。攻撃者が難読化およびエンコーディング技術を更新するために使用する速度は、このタイプのキャンペーンのインテリジェンスを強化するために必要な監視の専門知識のレベルを示しています。
他のMicrosoft 365 Defenderサービスからの脅威データは、Microsoft Defender for Office 365 によって提供される保護を強化し、このキャンペーンに関連する悪意のあるコンポーネントや、このキャンペーンが盗んだ資格情報に起因する可能性のあるその他の攻撃を検出してブロックするのに役立ちます。 Microsoft 365 Defender は、ファイル、URL、電子メールの脅威データを関連付けて、調整された防御を提供します。
最後に、このブログ エントリでは、キャンペーンの各反復で攻撃者が使用した手法について詳しく説明し、防御側がこれらの新たな脅威に対する保護戦略を強化できるようにしています。防御側は、セキュリティ構成と、それに続くその他の所定の緩和策を適用できます。防御側は、Microsoft 365 Defender の高度な検索を使用して、提供されたカスタム クエリを実行し、このキャンペーンに関連する攻撃についてネットワークを積極的にチェックすることもできます。
軽減措置
これらの軽減策を適用して、この脅威の影響を軽減します。
- Office 365 のメール フロー ルールまたは Outlook のグループ ポリシーを使用して、ビジネスに必要のない .html や .htm などのファイル タイプを取り除きます。 Office 365 のスパム対策ポリシーとメール フロー ルールで、許可されている送信者、ドメイン、および IP アドレスを確認します。許可された送信者アドレスが信頼できる組織に関連付けられている場合でも、これらの設定を使用してスパム対策フィルターをバイパスする場合は特に注意してください。Office 365 はこれらの設定を尊重し、潜在的に有害なメッセージを通過させる可能性があります。 Threat Explorer でシステムのオーバーライドを確認して、攻撃メッセージが受信者のメールボックスに到達した理由を特定します。
- 安全な添付ファイルポリシーをオンにして、受信メールへの添付ファイルをチェックします。配信後に URL が兵器化された場合にメールを削除するために、ゼロアワーの自動消去を使用してユーザーの安全なリンク保護を有効にします。
- アカウント間でのパスワードの再利用を避け、価値の高いシステムで内部的に Windows Hello などの多要素認証 (MFA) を使用します。さらに、特権アカウントには常に MFA を有効にし、通常のアカウントにはリスクベースの MFA を適用します。最後に、ローカル デバイス アクセス、リモート デスクトップ プロトコル アクセス/VPN および Outlook Web Access 経由の接続に MFA を要求します。これらの手順は、収集された資格情報の価値を制限するだけでなく、資格情報の侵害後の内部トラバーサルや、感染したホストからの資格情報を使用して行われるさらなるブルート フォース攻撃を軽減します。
- セキュリティまたはフィッシング認識トレーニングの一環として、エンド ユーザーに同意フィッシング戦術について教育します。トレーニングには、フィッシング メールやアプリケーションの同意画面に含まれるスペルミスや文法の誤り、および正規のアプリケーションや企業から送信されたように見せかけたなりすましのアプリ名やドメイン URL のチェックを含める必要があります。
- Microsoft Defender SmartScreenをサポートする Microsoft Edge およびその他の Web ブラウザーを使用するようユーザーに勧めてください。Microsoft Defender SmartScreen は、フィッシング サイト、詐欺サイト、エクスプロイトやホスト マルウェアを含むサイトなど、悪意のある Web サイトを識別してブロックします。ネットワーク保護を有効にして、悪意のあるドメインと IP アドレスへの接続をブロックします。
エンドポイントの検出と応答の検出
Microsoft 365 セキュリティ センターの次のタイトルのアラートは、ネットワーク内の脅威の活動を示している可能性があります。
- xslx.html/xls.html が添付されたメール配信
ウイルス対策検出
Microsoft Defender ウイルス対策は、脅威コンポーネントを次のマルウェアとして検出します。
- トロイの木馬:JS/Phish.Y!MTB
- Trojan:HTML/PhishYourJS.A!ibt
- トロイの木馬:HTML/Phish.PHIK!MTB
高度な狩猟
このキャンペーンに関連する特定の添付ファイルを見つけるには、次のクエリを実行します。
// Searches for email attachments with a specific file name extension xls.html/xslx.html
EmailAttachmentInfo
| where FileType has "html"
| where FileName endswith_cs "._xslx.hTML" or FileName endswith_cs "_xls.HtMl" or FileName endswith_cs "._xls_x.h_T_M_L" or FileName endswith_cs "_xls.htML" or FileName endswith_cs "xls.htM" or FileName endswith_cs "xslx.HTML" or FileName endswith_cs "xls.HTML" or FileName endswith_cs "._xsl_x.hTML"
| join EmailEvents on $left.NetworkMessageId == $right.NetworkMessageId
| where EmailDirection == "Inbound"
Microsoft Defender for Office 365 を使用した、業界をリードする包括的な保護により、資格情報のフィッシングやその他の電子メールの脅威を阻止する方法について説明します。
付録: 指標
2020年7月:支払い領収書
HTML 添付ファイル名の形式:
- お支払い領収書_<4 桁>_<2 桁>$_Xls.html ( VirusTotal のサンプルを参照)
ぼやけた Excel の背景画像:
- hxxps://i[.]gyazo[.]com/049bc4624875e35c9a678af7eb99bb95[.]jpg
- hxxps://i[.]gyazo[.]com/7fc7a0126fd7e7c8bcb89fc52967c8ec[.]png
フィッシング ドメイン:
- hxxps://es-dd[.]net/file/excel/document[.]php
2020年8月:契約
HTML 添付ファイル名の形式:
- Contract-<10 桁>.XLS.html ( VirusTotal のサンプルを参照)
組織のロゴへのリンク:
- hxxps://moneyissues[.]ng/wp-content/uploads/2017/10/DHL-LOGO[.]jpg
- hxxps://postandparcel.info/wp-content/uploads/2019/02/DHL-Express-850×476[.]jpg
フィッシング ドメイン:
- hxxps://contactsolution[.]com[.]ar/wp-admin/ddhlreport[.]php
- hxxps://www[.]laserskincare[.]ae/wp-admin/css/colors/midnight/reportexcel[.]php
2020年8月下旬:Ctr
HTML 添付ファイル名の形式:
- Ctr-<8 桁>_xls.htML ( VirusTotal のサンプルを参照)
ホストされている JavaScript ファイル:
- hxxp://yourjavascript[.]com/40128256202/233232xc3[.]js
- hxxp://yourjavascript[.]com/84304512244/3232evbe2[.]js
- hxxp://yourjavascript[.]com/42580115402/768787873[.]js
- hxxp://yourjavascript[.]com/8142220568/343434-9892[.]js
- hxxp://yourjavascript[.]com/82182804212/5657667-3[.]js
フィッシング ドメイン:
- hxxps://gladiator164[.]ru/wp-snapshots/root/0098[.]php?0976668-887
- hxxp://www.aiguillehotel[.]com/Eric/87870000/099[.]php?09098-897887
2020年11月:団体名
HTML 添付ファイル名の形式:
- <組織名>-<6桁>_xls.HtMl ( VirusTotalのサンプル参照)
ホストされている JavaScript ファイル:
- hxxp://yourjavascript[.]com/1111559227/7675644[.]js – ぼかした Excel 背景画像を読み込みます
- hxxp://yourjavascript[.]com/2512753511/898787786[.]js
- hxxp://yourjavascript[.]com/1522900921/5400[.]js – ユーザーのパスワードを盗み、偽の不正な資格情報ページを表示します
フィッシング ドメイン:
- hxxp://tokai-lm[.]jp/root/4556562332/t7678[.]php?787867-76765645
2021年1月:組織報告
HTML 添付ファイル名の形式:
- <組織名>-Report-<数字6桁>_xls.HtMl ( VirusTotalのサンプル参照)
ホストされている JavaScript ファイル:
- hxxp://yourjavascript[.]com/0221119092/65656778[.]js – ぼかした Excel 背景画像を読み込みます
- hxxp://yourjavascript[.]com/212116204063/000010887-676[.]js – ユーザーのパスワードを盗み、偽の不正な認証情報ページを表示します
フィッシング ドメイン:
- hxxp://tannamilk[.]or[.]jp//_products/556788-898989/0888[.]php?5454545-9898989
2021 年 2 月: 組織レポート/請求書
HTML 添付ファイル名の形式:
- <組織名>-Report-<数字6桁>_xls.HtMl ( VirusTotalのサンプル参照)
- <組織名>_invoice_<乱数>._xlsx.hTML.
ホストされている JavaScript ファイル:
- hxxp://coollab[.]jp/dir/root/p/434[.]js
- hxxp://yourjavascript[.]com/0221119092/65656778[.]js – ぼかした Excel 背景画像を読み込みます
- hxxp://coollab[.]jp/dir/root/p/09908[.]js
- hxxp://yourjavascript[.]com/212116204063/000010887-676[.]js – ユーザーのパスワードを盗み、偽の不正な資格情報ページを表示します
フィッシング ドメイン:
- hxxp://www
- hxxp://tannamilk[.]or[.]jp//_products/556788-898989/0888[.]php?5454545-9898989
2021 年 3 月: 請求書
HTML 添付ファイル名の形式:
- <組織名>_Invoice_<日>_-<日付>._xslx.hTML ( VirusTotal のサンプルを参照)
ホストされている JavaScript ファイル:
- hxxp://yourjavascript[.]com/4154317425/6899988[.]js
- hxxp://www[.]atomkraftwerk[.]biz/590/dir/354545-89899[.]js – パスワードの長さをチェックします
- hxxp://yourjavascript[.]com/2131036483/989[.]js
- hxxp://www[.]atomkraftwerk[.]biz/590/dir/86767676-899[.]js – ぼやけた背景画像をロードし、ユーザーのパスワードを盗み、偽の不正な資格情報のポップアップ メッセージを表示する
フィッシング ドメイン:
- hxxp://coollab[.]jp/local/70/98988[.]php?989898-67676
- hxxps://tannamilk[.]or[.]jp/cgialfa/545456[.]php?7878-9u88989
2021 年 5 月: 給与計算
HTML 添付ファイル名の形式:
- <組織名>_Invoice_<日> <MM_DD_YYYY>._xsl_x.Html ( VirusTotal のサンプルを参照)
- Payroll-<6桁>_xls.HtMl
ハードコーディングされたリンク:
- hxxps://api[.]statvoo[.]com/favicon/?url=hxxxxxxxx[.]com – 組織のロゴ
- hxxps://mcusercontent[.]com/dc967eaa4412707bedd3fe8ab/images/d2d8355d-7adc-4f07-8b80-e624edbce6ea.png – ぼかした PDF 背景画像
フィッシング ドメイン:
- hxxps://tannamilk[.]or[.]jp//js/local/33309900[.]php?8738-4526
- hxxp://tokai-lm[.]jp//home-30/67700[.]php?636-8763
- hxxp://coollab[.]jp/009098-50009/0990/099087776556[.]php?-aia[.]com[.]sg
2021 年 6 月: 未払いの通関伝票
HTML 添付ファイル名の形式:
- 未払いの 6 月のクリアランス スリップ|<乱数>._xslx.hTML
組織のロゴ:
- hxxps://api[.]statvoo[.]com/favicon/?url=sxmxxhxxxxp[.]co[.]xx
ホストされた JavaScript ファイル:
- hxxp://yourjavascript[.]com/4951929252/45090[.]js
フィッシング ドメイン:
- hxxp://tokai-lm[.]jp/style/b9899-8857/8890/5456655[.]php?9504-1549
2021 年 7 月: 発注書
HTML 添付ファイル名の形式:
- PO<乱数> XLS.html
ハードコーディングされたリンク:
- hxxps://i[.]gyazo[.]com/dd58b52192fa9823a3dae95e44b2ac27[.]png – Microsoft Excel ロゴ
- hxxps://aadcdn[.]msftauth [.]net/ests/2[.]1/content/images/backgrounds/2_bc3d32a696895f78c19df6c717586a5d[.]svg
- hxxps://i[.]gyazo[.]com/55e996f8ead8646ae65c7083b161c166[.]png – ぼかした Excel ドキュメントの背景画像
フィッシング ドメイン:
- hxxps://maldacollege[.]ac[.]in/phy/UZIE/actions[.]php
- hxxps://jahibtech[.]com[.]ng/wp-admta/taliban/office[.]php
Comments